PHP htmlspecialchars() 函数

实例

把预定义的字符 "<" (小于)和 ">" (大于)转换为 HTML 实体:

  1. <?php
  2. $str = "This is some <b>bold</b> text.";
  3. echo htmlspecialchars($str);
  4. ?>

以上代码的 HTML 输出如下(查看源代码):

  1. <!DOCTYPE html>
  2. <html>
  3. <body>
  4. This is some <b>bold</b> text.
  5. </body>
  6. </html>

以上代码的浏览器输出:

  1. This is some <b>bold</b> text.

定义和用法

htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。

预定义的字符是:

  • & (和号)成为 &
  • " (双引号)成为 "
  • ' (单引号)成为 '
  • < (小于)成为 <
  • > (大于)成为 >

提示:如需把特殊的 HTML 实体转换回字符,请使用 htmlspecialchars_decode() 函数。

语法

  1. htmlspecialchars(string,flags,character-set,double_encode)
参数 描述
string 必需。规定要转换的字符串。
flags 可选。规定如何处理引号、无效的编码以及使用哪种文档类型。 可用的引号类型:
  • ENT_COMPAT - 默认。仅编码双引号。
  • ENT_QUOTES - 编码双引号和单引号。
  • ENT_NOQUOTES - 不编码任何引号。
    • 无效的编码:
  • ENT_IGNORE - 忽略无效的编码,而不是让函数返回一个空的字符串。应尽量避免,因为这可能对安全性有影响。
  • ENT_SUBSTITUTE - 把无效的编码替代成一个指定的带有 Unicode 替代字符 U+FFFD(UTF-8)或者 &#FFFD; 的字符,而不是返回一个空的字符串。
  • ENT_DISALLOWED - 把指定文档类型中的无效代码点替代成 Unicode 替代字符 U+FFFD(UTF-8)或者 &#FFFD;。
    • 规定使用的文档类型的附加 flags:
  • ENT_HTML401 - 默认。作为 HTML 4.01 处理代码。
  • ENT_HTML5 - 作为 HTML 5 处理代码。
  • ENT_XML1 - 作为 XML 1 处理代码。
  • ENT_XHTML - 作为 XHTML 处理代码。
    		•
    character-set 可选。一个规定了要使用的字符集的字符串。 允许的值:
  • UTF-8 - 默认。ASCII 兼容多字节的 8 位 Unicode
  • ISO-8859-1 - 西欧
  • ISO-8859-15 - 西欧(加入欧元符号 + ISO-8859-1 中丢失的法语和芬兰语字母)
  • cp866 - DOS 专用 Cyrillic 字符集
  • cp1251 - Windows 专用 Cyrillic 字符集
  • cp1252 - Windows 专用西欧字符集
  • KOI8-R - 俄语
  • BIG5 - 繁体中文,主要在台湾使用
  • GB2312 - 简体中文,国家标准字符集
  • BIG5-HKSCS - 带香港扩展的 Big5
  • Shift_JIS - 日语
  • EUC-JP - 日语
  • MacRoman - Mac 操作系统使用的字符集

    • 注释:在 PHP 5.4 之前的版本,无法被识别的字符集将被忽略并由 ISO-8859-1 替代。自 PHP 5.4 起,无法被识别的字符集将被忽略并由 UTF-8 替代。
    double_encode 可选。布尔值,规定了是否编码已存在的 HTML 实体。 - TRUE - 默认。将对每个实体进行转换。 - FALSE - 不会对已存在的 HTML 实体进行编码。

    技术细节

    返回值: 返回被转换的字符串。 如果 string 包含无效的编码,则返回一个空的字符串,除非设置了 ENT_IGNORE 或者 ENT_SUBSTITUTE 标志。
    PHP 版本: 4+
    更新日志: 在 PHP 5 中,character-set 参数的默认值改为 UTF-8。 在 PHP 5.4 中,新增了:ENT_SUBSTITUTE、ENT_DISALLOWED、ENT_HTML401、ENT_HTML5、ENT_XML1 和 ENT_XHTML。 在 PHP 5.3 中,新增了 ENT_IGNORE。 在 PHP 5.2.3 中,新增了 double_encode 参数。 在 PHP 4.1 中,新增了 character-set 参数。

    更多实例

    例子 1

    把一些预定义的字符转换为 HTML 实体:

    1. <?php
    2. $str = "Bill & 'Steve'";
    3. echo htmlspecialchars($str, ENT_COMPAT); // 只转换双引号
    4. echo "<br>";
    5. echo htmlspecialchars($str, ENT_QUOTES); // 转换双引号和单引号
    6. echo "<br>";
    7. echo htmlspecialchars($str, ENT_NOQUOTES); // 不转换任何引号
    8. ?>

    以上代码的 HTML 输出如下(查看源代码):

    1. <!DOCTYPE html>
    2. <html>
    3. <body>
    4. Bill &amp; 'Steve'<br>
    5. Bill &amp; &#039;Steve&#039;<br>
    6. Bill &amp; 'Steve'
    7. </body>
    8. </html>

    以上代码的浏览器输出:

    1. Bill & 'Steve'
    2. Bill & 'Steve'
    3. Bill & 'Steve'

    例子 2

    把双引号转换为 HTML 实体:

    1. <?php
    2. $str = 'I love "PHP".';
    3. echo htmlspecialchars($str, ENT_QUOTES); // 转换双引号和单引号
    4. ?>

    以上代码的 HTML 输出如下(查看源代码):

    1. <!DOCTYPE html>
    2. <html>
    3. <body>
    4. I love &quot;PHP&quot;.
    5. </body>
    6. </html>

    以上代码的浏览器输出:

    1. I love "PHP".